勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着双重勒索的快速增长,企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年9月,全球新增的活跃勒索病毒家族有:AtomSilo、BlackByte、Groove、Sodinokibi(REvil)、Colossus等勒索软件。其中AtomSilo的数据泄露网站与BlackMatter的数据泄露网站高度相似,两者可能存在密切关系;Groove勒索软件由Babuk部分核心成员参与运营,并创建了一个名为RAMP的暗网论坛;消失近两月的Sodinokibi(REvil)在本月正式回归;Colossus勒索软件的勒索提示信息结构与Sodinokibi(REvil)相似,采用双重勒索模式运营。
针对本月勒索病毒受害者所中勒索病毒家族进行统计,phobos家族占比18.95%居首位,其次是占比17.32%的BeijingCrypt,Stop家族以14.05%位居第三。
本月BeijingCrypt勒索感染量有大幅度的上升,从8月份的4.06%上升至本月的17.32%。另外,在本月底该家族出现新的变种,将被加密文件后缀修改为“.520”。
对本月受害者所使用的操作系统进行统计,位居前三的是:Windows 10、Windows 7、以及Windows Server 2008。
本月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统类型仍以桌面系统为主,与上月相比无较大波动。
2021年7月初,Sodinokibi(REvil)团伙曾对Kaseya发起供应链攻击,导致100万个系统被加密,60个托管服务商和1500个企业因受此次攻击影响。而Sodinokibi(REvil)团队在收到此次攻击中2个受害企业支付的赎金之后不久便神秘消失。
而在本月初,关停近两个月的Sodinokibi(REvil)勒索软件正式回归,不仅重启了其基础设施,还在其数据泄露网站发布了新受害者信息。同时重置的还有赎金谈判页面的倒计时——这也意味着之前的受害者若想解密文件,仍可通过该页面与Sodinokibi(REvil)团伙进行谈判。
图1. 受害者与Sodinokibi(REvil)赎金谈判页面
就在Sodinokibi(REvil)勒索软件宣布回归后不久,国外执法部门通过特殊渠道获取到了该家族早期的密钥,并决定在该家族发起第二波攻击之前为受害者提供解密方案(解密工具仅能解密7月13日之前被加密的文件)。目前360解密大师已加入了对Sodinokibi(REvil)的解密支持,受害者可以使用解密大师解密文件。
图2. 360解密大师成功解密被Sodinokibi(REvil)加密的文件
自本月29日开始,360反勒索服务陆续接收到多个受害者反馈:大量重要文件被加密,文件后缀被修改为.520。经分析该勒索病毒属于BeijingCrypt勒索病毒家族的一个变种
该家族最早出现于2020年7月初,主要通过暴力破解远程桌面口令后手动投毒。其主要攻击地区为中国,早期传播因修改文件后缀为.beijing而被命名为BeijingCrypt。此次攻击者向受害者索要4500美元到5000美元不等的等价虚拟货币作为赎金。
图3. 受害者与BeijingCrypt作者赎金谈判邮件
根据此次受害者所从事的行业进行分析,被攻击的受害者中大部为零售行业。通常利用远程桌面进行传播的勒索病毒并不具备针对某特定行业的定向投放能力,这是首次出现通过远程桌面转播勒索病毒具有如此强的行业针对性。
Babuk勒索团队在2021年4月攻击华盛顿警方后产生内部分歧。其管理员决定公布从警方手中获取到的敏感信息用于宣传,但部分成员拒绝这一行为,认为泄露警方数据会带来大量不好的影响。而在管理员泄露数据后,该组织出现分裂——部分成员创建RAMP论坛,而另一些人员启动了BabukV2勒索攻击。在6月Babuk勒索生成器被泄露,9月Babuk成员将Babuk源代码在暗网公开发布。
本月,一名ID为“Orange”的黑客在RAMP发布了一篇文章,文章中包含12856台设备上近50万个用户的Fortiner VPN凭证。根据IP定位其所属国家,发现有11.89%的设备来自中国。同时还观察到Groove勒索软件的数据泄露网站发布了一篇指向RAMP论坛关于Fortinet VPN凭证泄露的文章,猜测其团伙公开这些凭证的目的是想吸引更多的黑客参与该勒索软件活动。
图4. Groove数据泄露网站
在本月Ragnar_Locker先后发布两则关于拒绝与第三方谈判的公告。强调在过去经常遇到专业谈判者与其进行赎金谈判,但这并没有使交易变的更加容易或者安全,反而让情况变的更加糟糕。通常遇到去谈判的是一些数据恢复公司,甚至有一些人来自联邦调查局、调查机构等。其中一些数据恢复公司,在谈判过程中为了降低价格,增加自身收益,不管客户的敏感数据。因此Ragnar_Locker团队宣布:后续如果再遇到来自其他方的谈判,将拒绝谈判并直接发布受害者数据。
图5. Ragnar_Locker拒绝与数据恢复公司谈判公告
在Ragnar_Locker发布此消息后,Grief勒索团伙也发布公告将拒绝来自第三方的谈判、拒绝二手交易,如果遇到来自数据恢复公司的谈判,他们将直接销毁数据。
图6. Grief拒绝与数据恢复公司谈判赎金
以下是本月收集到的黑客邮箱信息:
表格1.黑客邮箱
当前,通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(已经支付赎金的企业或个人,可能不会出现在这个清单中)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
表格2. 受害组织/企业
通过将2021年8月与9月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年9月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年9月弱口令攻击态势发现,RDP和MYSQL弱口令攻击整体无较大波动。MSQQL属于正常的波动范围。
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
file:属于BeijngCrypt勒索病毒家族,由于被加密文件后缀会被修改为file而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。但本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
hauhitec:属于YourData,由于被加密文件后缀会被修改为hauhitec而成为关键词。通过“匿隐” 僵尸网络进行传播。
efdc:属于Stop勒索病毒家族,由于被加密文件后缀会被修改为efdc而成为关键词。该家族主要的传播方式为:伪装成破解软件或者激活工具进行传播。
LockBit:LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
Makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。
koom:同efdc。
GlobeImposter-Alpha666qqz: 属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为GlobeImposter-Alpha666qqz而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒以及获取数据库口令后远程执行恶意代码加密系统文件。
nwiot:同efdc。
解密大师
从解密大师本月解密数据看,解密量最大的是Sodinokibi(REvil),其次是CryptoJoker。使用解密大师解密文件的用户数量最高的是被Stop家族加密的设备,其次是被Crysis家族加密的设备。
面对严峻的勒索病毒威胁态势,360安全大脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。
一、针对个人用户的安全建议
对于普通用户,360安全大脑给出以下建议,以帮助用户免遭勒索病毒攻击。
(一)养成良好的安全习惯
电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。
尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
(二)减少危险的上网操作
不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
(三)采取及时的补救措施
安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,以尽可能的减小自身损失。
二、针对企业用户的安全建议
(一)企业安全规划建议
对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。
1)安全规划
网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。
内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。
安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。
权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。
数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
2)安全管理
账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。
补丁与漏洞扫描,了解企业数字资产情况,将补丁管理做为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。
权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。
内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。
3)人员管理
人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。
行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。
(二)发现遭受勒索病毒攻击后的处理流程
发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。
联系安全厂商,对内部网络进行排查处理。
公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
(三)遭受勒索病毒攻击后的防护措施
1. 联系安全厂商,对内部网络进行排查处理。
2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
是否有新增账户
Guest是否被启用
Windows系统日志是否存在异常
杀毒软件是否存在异常拦截情况
5. 登录口令要有足够的长度和复杂性,并定期更换登录口令
6. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
7. 定期检测系统和软件中的安全漏洞,及时打上补丁。
三、不建议支付赎金
最后——无论是个人用户还是企业用户,都不建议支付赎金!
支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如:部分勒索病毒只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索,则应立即采取补救措施——修补安全漏洞并调整相关业务,尽可能将数据泄露造成的损失降到最低。